Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Joomla sotto attacco: exploit di massa e centinaia di siti sotto controllo di cyber-crminali
- GIOVEDÌ 3 NOVEMBRE 2016


La scorsa settimana Joomla ha rilasciato un aggiornamento utile a correggere due vulnerabilità critiche. Solitamente, non appena si ha notizia di una vulnerabilità, i cyber-criminali tentano l’assalto a quel software nel tentativo di bruciare sul tempo i ricercatori di sicurezza e anticipare l’uscita delle patch. In questo caso, durante un lasso di tempo di poche ore dopo l’aggiornamento, Joomla è stato letteralmente preso d’assalto. 

Di che tipo di vulnerabilità parliamo?
Essenzialmente due, CVE-2016-8870 e CVE-2016-8869, di gravità critica potenzialmente sfruttabili  da un utente remoto per creare un account e incrementare i propri privilegi amministrativi praticamente su ogni sito Joomla. Combinando queste  vulnerabilità, gli attaccanti ottengono sufficienti poteri per caricare file backdoor e ottenere quindi il controllo completo del sito vulnerabile. 

E la patch…
Visto che entrambe le vulnerabilità sono state sfruttate in the wild, Joomla ha rilasciato urgentemente  due aggiornamenti che, paradossalmente, hanno prodotto l’effetto contrario a quello sperato: invece di risolvere il problema tappando le falle, sono state facilmente “saltate” tramite un processo di ingegneria inversa sulla patch stessa. Nel corso degli attacchi si è potuto verificare che sono state usate diverse tecniche di exploit contro i siti Joomla, a ribadire che  vi sono nei fatti più modi per sfruttare le stesse vulnerabilità. 

Gli attacchi: 
Dopo meno di 24 ore, gli strumenti di monitoraggio di Sucuri hanno registrato le prime attività anomale: ping e collegamenti ai siti, quasi sicuramente in cerca delle vulnerabilità. 
In meno di 36 ore Joomla è stato sommerso di tentativi di exploit, al punto che non è così inverosimile pensare che la gran parte dei siti Joomla! che non sono stati aggiornati con la patch sia compromesso.  

Il grafico, disponibile sul sito Sucuri, mostra l’aumento esponenziale degli attacchi contro i siti creati con Joomla: 27.751 siti creati con Joomla sono finiti sotto attacco. Va detto che questi dati riguardano solo i siti che l’azienda può monitorare: chiaramente quindi il numero sarà più alto.

Fonte: Sucuri

Attacco 1: entro le 24 ore dal rilascio della patch
La maggior parte dei tentativi di questo attacco sono stati finalizzati al tentativo di registrare nuovi  utenti: sono stati colpiti alcuni dei siti più popolari.
Ecco come dovrebbe apparire il payload nei log del vostro sito

POST /index.php?option=com_users&task=user.register HTTP/1.1"

Attacco 2: il primo exploit di massa
Qualche ora dopo una coppia di indirizzi IP romeni ha iniziato un vero e proprio attacco a tappeto contro centinaia di siti Joomla.  E’ stata tentata la creazione di un username chiamato db_fg, con password fsugmze3. Provengono dallo stesso URL con un payload:

82.77.15.204 - - [26/Oct/2016:18:09:24 -0400]
"POST /index.php/component/users/?task=user.register
  user[name] = db_cfg
  user[username] = db_cfg
  user[password1] = fsugmze3
  user[password2] = fsugmze3

Verificate quindi se esiste sul vostro sito l’username db-cfg e verificate nei log la presenza  dei seguenti indirizzi IP

82.76.195.141
82.77.15.204
81.196.107.174

Poche ore dopo anche un IP dalla Lettonia ha avviato un tentativo di exploit di massa cercando di registrare nuovi username e password random su centinaia di siti Joomla. L’unico filo che ha legato queste centinaia di account registrati dallo stesso IP lettone è la mail

ringcoslio1981@gmail.com
Questo l’IP 185.129.148.216

Consigli agli amministratori:
1. Aggiornate immediatamente il software.
2. Controllate i log di sistema e confrontateli con gli indirizzi IP sopra riportati e con il comando task=user.register



Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 29 NOVEMBRE 2019
Attenzione! Il lucchetto verde e l'HTTPS non sono più sufficienti per indicare un sito web sicuro
Negli ultimi tempi i Quick Heal Security Labs hanno registrato un sorprendete aumento degli attacchi di phishing: sono attacchi nei quali gli ignari utenti vengono attira...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login